POLITYKA BEZPIECZEŃSTWA
W ZAKRESIE OCHRONY DANYCH OSOBOWYCH
Tczewskiego Uniwersytetu Trzeciego Wieku
Zarząd Stowarzyszenia Tczewski Uniwersytet Trzeciego Wieku
(zwany dalej w skrócie „TUTW”) świadomy wagi problemów
związanych z ochroną prawa do prywatności oraz narastającej
skali zagrożeń związanych z nieuprawnionym przetwarzaniem
danych osobowych, dołoży szczególnej staranności w celu ich
ochrony i jednocześnie deklaruje:
a) zamiar podejmowania wszystkich działań niezbędnych dla
ochrony praw i usprawiedliwionych interesów jednostki
związanych z bezpieczeństwem danych osobowych,
b) zamiar stałego podnoszenia świadomości oraz kwalifikacji osób
przetwarzających dane osobowe w Stowarzyszeniu TUTW w
zakresie problematyki bezpieczeństwa tych danych;
c) zamiar podejmowania w niezbędnym zakresie współpracy z
instytucjami powołanymi do ochrony danych osobowych.
I. Postanowienia ogólne
Art. 1
1.Dane osobowe w Stowarzyszeniu TUTW przetwarzane są
z poszanowaniem aktualnych przepisów w zakresie ochrony
danych, w tym w szczególności przepisów Rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych „RODO”).
2. Stowarzyszenie TUTW nie powołuje Administratora
Bezpieczeństwa Informacji (ABI).
Art. 2
Ilekroć w Polityce bezpieczeństwa jest mowa o:
a. rozporządzeniu - rozumie się przez to rozporządzenie
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w
związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie
danych „RODO”),
b. ustawie - rozumie się przez to ustawę z dnia 10 maja 2018 r.
o ochronie danych osobowych,
c. administratorze danych osobowych/administratorze danych
(AD) – rozumie się przez to Stowarzyszenie TUTW , w imieniu
którego działa Zarząd,
d. Stowarzyszeniu - rozumie się przez to Stowarzyszenie
Tczewski Uniwersytet Trzeciego Wieku,
e. osobie upoważnionej do przetwarzania danych osobowych -
rozumie się przez to osobę, która została upoważniona na
piśmie przez administratora danych osobowych do
przetwarzania danych osobowych,
f. zgodzie osoby, której dane osobowe dotyczą – rozumie się
przez to dobrowolne konkretne, świadome i jednoznaczne
okazanie woli, którym osoba, której dane dotyczą, w formie
oświadczenia lub wyraźnego działania potwierdzającego,
przyzwala na przetwarzanie informacji dotyczących jej danych
osobowych.
g. pracowniku - wolontariuszu - osobie wykonującej czynności,
w szczególności w oparciu o stosunek pracy, umowy
cywilnoprawne, porozumienie o wolontariat, stosunek
wynikający z członkostwa w Stowarzyszeniu,
h. rozliczalności – rozumie się przez to właściwość zapewniającą,
że działanie podmiotu może być przypisane w sposób
jednoznaczny, tylko temu podmiotowi,
i. integralności danych – rozumie się przez to właściwość
zapewniającą, że dane osobowe nie zostały zmienione lub
zniszczone w sposób nieautoryzowany,
j. poufności danych - rozumie się przez to właściwość
zapewniającą, że dane osobowe nie są udostępniane
nieupoważnionym podmiotom.
Art. 3
1. Celem polityki bezpieczeństwa jest ochrona danych osobowych
przetwarzanych przez Stowarzyszenie w zakresie określonym
ustawą i rozporządzeniem.
2. Stowarzyszenie zobowiązuje się chronić dane osobowe
przetwarzane w kartotekach, skorowidzach, księgach, wykazach,
systemach informatycznych w zakresie określonym ustawą i
rozporządzeniem.
3. Stowarzyszenie, realizując politykę bezpieczeństwa w zakresie
ochrony danych osobowych, dokłada szczególnej staranności w
celu ochrony interesów osób, których dane dotyczą, a w
szczególności zapewnia, aby dane te były:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób
przejrzysty dla osoby, której dane dotyczą („zgodność z prawem,
rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych
celach i nieprzetwarzane dalej w sposób niezgodny z tymi
celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne
do celów, w których są przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć
wszelkie rozsądne działania, aby dane osobowe, które są
nieprawidłowe w świetle celów ich przetwarzania, zostały
niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby,
której dane dotyczą, przez okres nie dłuższy, niż jest to
niezbędne do celów, w których dane te są przetwarzane;
dane osobowe można przechowywać przez okres dłuższy, o ile
będą one przetwarzane wyłącznie do celów archiwalnych w
interesie publicznym, do celów badań naukowych lub
historycznych lub do celów statystycznych z zastrzeżeniem, że
wdrożone zostaną odpowiednie środki techniczne i organizacyjne
wymagane na mocy niniejszego rozporządzenia w celu ochrony
praw i wolności osób, których dane dotyczą („ograniczenie
przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie
bezpieczeństwo danych osobowych, w tym ochronę przed
niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz
przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą
odpowiednich środków technicznych lub organizacyjnych.
Art. 4
4. Polityka bezpieczeństwa zawiera w szczególności:
a) informację o pomieszczeniu tworzącym obszar, w którym
przetwarzane są dane osobowe,
b) wykaz zbiorów danych osobowych,
c) środki techniczne i organizacyjne niezbędne do zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych,
d) prawa osób, których dane są przetwarzane przez Stowarzyszenie,
II. Obszar, w którym przetwarzane są dane osobowe
Art. 5
1.Siedziba Stowarzyszenia znajduje się przy Placu Grzegorza 5,
83-110 Tczew.
2.Administrator danych osobowych przetwarza dane osobowe w
swojej siedzibie wskazanej w ust. 1
3. Obszar przetwarzania danych osobowych obejmuje zamykane
na klucz pomieszczenie biurowe wynajmowane przez TUTW od
właściciela, którym jest Dom Organizacji Pozarządowych
w Tczewie.
4. W pomieszczeniu biurowym znajdują się szafy/szuflady
zamykane na klucz, w których przechowywane są kartoteki,
segregatory, skorowidze zawierające dane osobowe członków
Stowarzyszenia.
III. Wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych danych
Art. 6
Administrator danych przetwarza dane osobowe w następujących
zbiorach danych:
a) zbiór danych członków Stowarzyszenia – przetwarzany w
sposób tradycyjny (w szczególności w kartotekach, skorowidzach,
księgach, wykazach i w innych zbiorach ewidencyjnych , wykaz
członków w wersji papierowej, deklaracje członkowskie),
b) zbiór danych zawierających dokumentację księgową i
pracowniczą - przetwarzany w sposób tradycyjny
(w szczególności w kartotekach, skorowidzach, księgach,
wykazach i w innych zbiorach ewidencyjnych).
IV. Opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania między nimi.
Art. 7
Administrator danych przetwarza w zbiorach dane osobowe w
następującym zakresie:
a) ZBIÓR 1: zbiór danych członków stowarzyszenia obejmuje:
imię i nazwisko członka, datę urodzenia, adres zamieszkania,
telefon, e-mail, PESEL, orzeczenie o niepełnosprawności,
zainteresowania i pasje.
b) ZBIÓR 2: zbiór danych zawierających dokumentację księgową
i pracowniczą administratora danych obejmujące następujące
dane: imię i nazwisko, adres, telefon, wysokość wynagrodzenia,
numer dowodu osobistego, numer rachunku bankowego; numer
NIP i PESEL, imiona rodziców, data i miejsce urodzenia.
V. Sposób przepływu danych.
Art. 8
Zbiór 1. zawiera dane członków Stowarzyszenia. Dane ze zbioru są
udostępniane członkom Zarządu i Komisji Rewizyjnej w celu
realizacji zadań statutowych, jak również są udostępniane innym
osobom lub organom, na podstawie pisemnej umowy o
powierzenie przetwarzania danych osobowych lub w wypadkach
prawem przewidzianych.
Zbiór 2. zawiera dokumentację księgową i pracowniczą. Dane ze
zbioru są udostępniane członkom Zarządu i Komisji Rewizyjnej w
celu realizacji zadań statutowych, jak również są udostępniane
bankowi, w którym TUTW posiada rachunek bankowy, ZUS,
Urzędowi Skarbowemu oraz innym osobom i organom,
w wypadkach prawem przewidzianych lub na podstawie pisemnej
umowy o powierzenia przetwarzania danych osobowych (nazwy
i adresy instytucji do wglądu).
VI. Środki techniczne i organizacyjne niezbędne do zapewnienia
poufałości, integralności i rozliczalności przetwarzanych danych.
Art.9
Stowarzyszenie TUTW, realizując politykę bezpieczeństwa w
zakresie ochrony danych osobowych, stosuje odpowiednie środki
techniczne i organizacyjne zapewniające ochronę przetwarzanych
danych osobowych odpowiednią do zagrożeń oraz kategorii danych
objętych ochroną.
Stowarzyszenie TUTW gromadzi dane osobowe z wykorzystaniem
systemów informacyjnych w celu zapewnienia komunikacji w
przekazywaniu informacji drogą mailową i sms-ową o
realizowanych projektach, wykładach, wycieczkach, planowanych
wyjazdach kulturalnych, wydarzeniach kulturalnych, realizowanych
w Tczewie i okolicach. Publikowanie danych w materiałach
dotyczących działalności TUTW na stronie internatowej i
mediach społecznościowych.
Art. 10
Klucze do pomieszczenia biurowego znajdują się w portierni
administracji tj. Domu Organizacji Pozarządowych. Klucze do
pomieszczenia, w którym zlokalizowany jest obszar przetwarzania
danych osobowych każdorazowo pobierane są przez upoważnionych
członków Zarządu od dozorcy za pokwitowaniem i zamykane po
zakończeniu pracy.
Budynek, w którym zlokalizowany jest obszar przetwarzania
danych osobowych zamykany jest przez administrację Domu
Organizacji Pozarządowych w Tczewie. Budynek jest monitorowany.
Zbiory danych przetwarzane w postaci tradycyjnej są
przechowywane w szafie zamykanej na klucz. Klucz do szafy, w
której przechowywane są dane osobowe posiadają wyłącznie
osoby upoważnione.
Przebywanie osób trzecich w pomieszczeniach, gdzie są
przetwarzane dane osobowe dopuszczalne jest tylko w obecności
osoby upoważnionej do przetwarzania danych osobowych.
Pomieszczenie, o którym mowa wyżej, powinno być zamykane na
czas nieobecności osoby upoważnionej, w sposób uniemożliwiający
dostęp do nich osób trzecich.
Opuszczenie pomieszczenia, w którym przetwarzane są dane
osobowe, musi wiązać się z zastosowaniem dostępnych środków
zabezpieczających to pomieszczenie przed wejściem osób
niepowołanych. W szczególności w razie planowanej, choćby
chwilowej nieobecności pracownika upoważnionego do
przetwarzana danych osobowych obowiązany jest on umieścić
zbiory występujące w formach tradycyjnych w odpowiednio
zabezpieczonym miejscu ich przechowywania.
Art. 11
1. Stowarzyszenie, realizując politykę bezpieczeństwa w zakresie
ochrony danych osobowych, sprawuje kontrolę i nadzór nad
niszczeniem zbędnych danych osobowych i/lub ich zbiorów.
2. Niszczenie zbędnych danych osobowych i/lub ich zbiorów
polegać powinno w szczególności na:
a) trwałym, fizycznym zniszczeniu danych osobowych i/lub ich
zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich
późniejsze odtworzenie przez osoby niepowołane przy
zastosowaniu powszechnie dostępnych metod,
b) anonimizacji danych osobowych i/lub ich zbiorów polegającej
na pozbawieniu danych osobowych i/lub ich zbiorów cech
pozwalających na identyfikację osób fizycznych, których
anonimizowane dane dotyczą.
Art. 12
1. Za naruszenie ochrony danych osobowych uważa się
w szczególności:
a) nieuprawniony dostęp lub próbę dostępu do danych osobowych
lub pomieszczeń, w których się one znajdują,
b) wszelkie modyfikacje danych osobowych lub próby ich
dokonania przez osoby nieuprawnione (np. zmian zawartości
danych, utrat całości lub części danych),
c) udostępnienie osobom nieupoważnionym danych osobowych
lub ich części.
2. Za naruszenie ochrony danych osobowych uważa się również
włamanie do budynku lub pomieszczenia, w którym przetwarzane
są dane osobowe lub próby takich działań.
3. Opracowano instrukcję postępowania w przypadku naruszenia
ochrony danych osobowych.
VII. Osoby przetwarzające dane osobowe.
Art. 13
Administrator Danych Osobowych:
a) formułuje i wdraża warunki techniczne i organizacyjne służące
ochronie danych osobowych przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę nieupoważnioną,
przetwarzaniem z naruszeniem ustawy i rozporządzenia
oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
b) decyduje o zakresie, celach oraz metodach przetwarzania i
ochrony danych osobowych,
c) odpowiada za zgodne z prawem przetwarzanie danych osobowych.
Art.14
1. Realizując politykę bezpieczeństwa w zakresie ochrony danych
osobowych, dopuszcza się do ich przetwarzania w sposób
tradycyjny wyłącznie osoby do tego upoważnione.
2. Upoważnienie, o którym mowa w ust. 1, wynikać może
w szczególności:
a) z charakteru pracy/usług/świadczeń wykonywanych dla
Stowarzyszenia,
b) z dokumentu określającego zakres obowiązków (zakres
czynności) wykonywanych przez pracownika/zleceniobiorcę/
wolontariusza,
c) z odrębnego dokumentu zawierającego imienne upoważnienie
nadane przez administratora danych osobowych lub inną
upoważnioną do tego osobę do dostępu do danych osobowych.
3. Dostęp do danych osobowych i ich przetwarzanie bez odrębnego
upoważnienia administratora danych osobowych może mieć
miejsce wyłącznie w przypadku działań podmiotów
upoważnionych na mocy odpowiednich przepisów prawa do
dostępu i przetwarzania danych określonej kategorii.
4. W szczególności dostęp do danych osobowych na warunkach
wskazanych w ust. 3 mogą mieć: Państwowa Inspekcja Pracy,
Zakład Ubezpieczeń Społecznych, organy skarbowe, Policja,
Agencja Bezpieczeństwa Wewnętrznego, Wojskowe Służby
Informacyjne, sądy powszechne, Najwyższa Izba Kontroli,
Generalny Inspektor Ochrony Danych Osobowych i inne
upoważnione przez przepisy prawa podmioty i organy, działające
w granicach przyznanych im uprawnień - wszystkie w/w po
okazaniu dokumentów potwierdzających te uprawnienia i tylko
i wyłącznie w obecności członka Zarządu Stowarzyszenia.
Art.15
1. Stowarzyszenie, realizując politykę bezpieczeństwa w zakresie
ochrony danych osobowych, zapewnia kontrolę nad dostępem do
tych danych. Kontrola ta w szczególności realizowana jest
poprzez ewidencjonowanie osób przetwarzających dane osobowe
oraz wdrożenie procedur udzielania dostępu do tych danych.
Art.16
Stowarzyszenie, realizując politykę bezpieczeństwa w zakresie
ochrony danych osobowych, zapewnia zaznajomienie osób
upoważnionych do dostępu i/lub przetwarzania danych osobowych
z powszechnie obowiązującymi przepisami prawa, uregulowaniami
wewnętrznymi, a także technikami i środkami ochrony tych danych
stosowanymi w Stowarzyszeniu.
Art.17
1. Osoby upoważnione do przetwarzania danych osobowych zostają
zaznajomione z zakresem informacji objętych tajemnicą w
związku z wykonywaną przez siebie pracą. W szczególności są
one informowane o powinności zachowania w tajemnicy danych
osobowych oraz sposobów ich zabezpieczenia stosowanych w
Stowarzyszeniu.
2. Osoby upoważnione do przetwarzania danych osobowych
podpisują zobowiązanie do zachowania w tajemnicy danych
osobowych.
VIII. Prawa osób, których dane są przetwarzane przez Stowarzyszenie
Art. 18
1. Stowarzyszenie gwarantuje osobom fizycznym, których dane
osobowe są przetwarzane, realizację uprawnień gwarantowanych
im przez obowiązujące przepisy prawa.
2. W szczególności każdej osobie fizycznej, której dane osobowe
są przetwarzane przez Stowarzyszenie, przysługuje prawo
dostępu do swoich danych oraz ich sprostowania, a także prawo
wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych
w przypadku uznania, iż przetwarzanie danych osobowych
narusza przepisy rozporządzenia. Można również domagać się
ograniczenia przetwarzania danych osobowych ze względu na
swoją szczególną sytuację, z zastrzeżeniem przypadków, o
których mowa w art. 18 ust. 2 rozporządzenia; wyrażoną zgodę
można w dowolnym momencie wycofać, bądź zwrócić się z
wnioskiem o usunięcie lub przeniesienie danych, zgodnie z
zasadami określonymi w art. 15 – 22 rozporządzenia
3. Od osób, od których pobierane są dane osobowe,
Stowarzyszenie powinno uzyskać zgodę na ich przetwarzanie w
formie stosownego oświadczenia o następującej przykładowej treści:
"Ja, niżej podpisany/podpisana, oświadczam, że wyrażam zgodę
na przetwarzanie moich danych osobowych zgodnie z
Rozporządzeniem Parlamentu Europejskiego i Rady (UE)
2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w
sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
na potrzeby realizacji celów i statutowych zadań TUTW.
IX. Postanowienia końcowe
Art.19
1. Stowarzyszenie przetwarza dane osobowe na podstawie
powszechnie obowiązujących przepisów prawa.
2. Dane osobowe mogą być udostępniane tylko zgodnie z
powszechnie obowiązującymi przepisami prawa.
3. Każdy pracownik / wolontariusz przed dopuszczeniem do
przetwarzania danych osobowych zobowiązany jest do
zapoznania się i stosowania zapisów niniejszego dokumentu
oraz przepisów ustawy o ochronie danych osobowych.
4. W sprawach nieuregulowanych zastosowanie mają odpowiednie
przepisy aktów prawnych powszechnie obowiązujących.
Art. 20
Niniejszą Politykę Bezpieczeństwa w Zakresie Ochrony Danych
Osobowych zatwierdzono uchwałą Zarządu nr 2-Z-2019
z dnia 24.04.2019 r.
Podpisy członków Zarządu
Przewodniczący ........................................................
Wiceprzewodniczący ………………………………………
Sekretarz ........................................................
Księgowy – skarbnik ………………………………………
Członek Z-du ........................................................
Członek Z-du ........................................................
Członek Z-du ………………………………………
..
